Papierowa dokumentacja medyczna do końca lipca 2017 r.

Placówki medyczne mogą prowadzić dokumentację medyczną pacjentów w formie papierowej do końca lipca 2017 r. Potwierdza to, uchwalona przez Sejm, nowelizacja ustawy o systemie informacji w ochronie zdrowia.

O trzy lata wydłużono termin na wprowadzenie dokumentacji medycznej wyłącznie w formie elektronicznej. Dotychczas obowiązujące nakładały na podmioty medyczne obowiązek prowadzenia dokumentacji medycznej wyłącznie w formule elektronicznej  od 1 sierpnia tego roku. Po nowelizacji do 1 sierpnia 2017 r. będzie możliwe prowadzenie dokumentacji w formie papierowej lub elektronicznej.

Argumentami za nowelizacją było także to, że bardzo wielu lekarzy praktykujących prywatnie, jest nieprzygotowanych do wyeliminowania dokumentacji w formie papierowej i przejścia wyłącznie na formę elektroniczną, dlatego zasadnym jest wydłużenie okresu przejściowego.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej jest częścią systemu informatyzacji ochrony zdrowia; zakłada on także wprowadzenie elektronicznych kart pacjenta, e-recept i e-skierowań.

Ochrona prywatności w miejscu pracy Część I

 

W ramach Projektu Partnerskiego Leonardo da Vinci “Zwiększanie świadomości w zakresie ochrony danych osobowych wśród pracowników zatrudnionych w krajach Unii Europejskiej organy ochrony danych z Polski, Czech, Bułgarii i Chorwacji opracowały publikację „Ochrona prywatności w miejscu pracy”. Przewodnik dla pracowników”.

Poniżej zamieszczam kilka cennych zaleceń publikacji przydatnych w procesie rekrutacyjnym.

 1. Unikaj umieszczania w swoim CV danych zbędnych w procesie rekrutacji.

2. Pamiętaj, że masz prawo odmowić podania potencjalnemu pracodawcy żądanych przez niego danych, jeżeli brak jest przepisow prawnych zobowiązujących cię do ich ujawnienia.

3. Udziel wyraźnej zgody na przetwarzanie danych jeżeli:

1) chcesz, aby twoje dane były przetwarzane w ramach przyszłych rekrutacji,

2) korzystasz z usług agencji zatrudnienia,

3) z własnej inicjatywy ujawniasz potencjalnemu pracodawcy dane szczegolnie chronione.

4. Pamiętaj, że w każdym czasie możesz wycofać swoją zgodę na przetwarzanie danych osobowych!

5. Upewnij się, że posiadasz pełne informacje o sposobie i celach przetwarzania danych przez określony podmiot, zanim udostępnisz mu swoje dane osobowe.

6. Szukając pracy poprzez Internet, korzystaj wyłącznie ze sprawdzonych i zaufanych stron

7. Pomyśl o bezpieczeństwie swoich danych zanim zamieścisz CV w Internecie – CV wprowadzone raz do Internetu będzie w nim dostępne, nawet jeżeli usuniesz je ze strony internetowej, na ktorej zostało pierwotnie zamieszczone!

 

Cloud Computing Część II

W jednym z ostatnich wpisów poruszałam tak ostatnio modny temat jak usługi cloud computing. Popularności zagadnienia dowodzi fakt dodania wpisu reklamującego ten rodzaj usług pod wpisem.

Dzisiaj chcę napisać kilka wskazówek dla klientów odbiorców końcowych usług w chmurze.

Zważywszy na szeroki wachlarz usług oferowanych w chmurze, łatwą dostępność a jednocześnie stosunkowo niski koszt zainteresowanie tymi usłgami stale wzrasta. I mimo, iż usługi cloud computing różnią się nieco od klasycznych usług outsourcingu IT to obecnie w obrocie mało kto to dostrzega.

Problemem w zakresie przetwarzania danych osobowych w jednym i drugim modelu świadczenia usług jest częsta wielopoziomowość przetwarzania danych. W odniesienie do przetwarzania danych mówi się nawet o stosie chmur czyli wielu podmiotach, które w tym przetwarzaniu biorą udział. Rodzi to ryzyko rozproszenia i rozmycia odpowiedzialności za przetwarzanie danych w tym łańcuchu podpowierzenia.

Tym, co widzi klient-mały przedsiębiorca-administrator danych osobowych jest jego bezpośredni dostawca usługi na przykład firma sprzedająca mu oprogramowanie w chmurze.

Z reguły klient końcowy nie wnika z jakich podwykonawców korzysta jego dostawca a zdarza się, że tych podwykonawców jest kilku, co gorsza czasami bywa, że podwykonawcy i ich serwery zlokalizowani są poza europejskim obszarem gospodarczym, który nie gwarantuje adekwatnego do eupropejskiego poziomu ochrony  danych osobowych.

Oznaczać to może, że końcowy klient mały administrator powierzając przetwarzanie  danych swoich klientów niejako utracił nad nimi kontrolę, czasami zupełnie nie jest świadomy jak bardzo.

W świetle prawa to administrator jest odpowiedzialny za ochronę danych osobowych przetwarzanych w swoich zbiorach, jest odpowiedzialany za legalność przetwarzania tych danych, za należyte zabezpieczenie ich przed dostępem osób nieuprawnionych. Administrator też powinien pamiętać, iż na nim spoczywa obowiązek należytej weryfikacji podmiotów, którym dane swoich klientów powierza.

W odniesieniu do przetwarzania w chmurze ma to tym większe znaczenie, że istnieje znaczne ryzyko, że dostawca usługi w chmurze jest pierwszym ale nie jedynym podmiotem przetwarzającym dane oraz, że klient do końca nigdy nie jest pewny lokalizacji serwerów, na których przechowywane są dane.

NIe bez znaczenia też jest fakt, że  klient końcowy właściwie nie ma możliwośći negocjowania umowy. Z reguły wybór dostawcy chmurowego sprowadza się do konieczności zaakceptowania odpowiedniego wzorca umownego umieszczonego na stronie usługodawcy.

Problem jest na tyle istotny i ważny, iż aktulanie na poziomie eupropejskim trwają prace mające na celu opracowanie odpowiedniego wzorca umownego. Wzorzec taki w mojej ocenie podniósłby znacząco bezpieczeństwo korzystania z usług cloud computing przez odbiorcę końcowego i zaoszczędził  mu dylematów związanych z tym przetwarzaniem.

Zgoda na przetwarzanie danych osobowych kandydata do pracy

Piszesz list. Nie taki zwykły i nawet nie krótki. List motywaycjny. Kto pisze  taki list z reguły szuka pracy. Czasami mu na tej pracy zależy mniej a czasami bardzo. Wiadomo dzieci, rodziny, kredyty itd. Jeszcze CV. Wysyłasz. No i rozmowa. Pierwsza lub kolejna w procesie rekrutacyjnym, który bywa, że trwa dobrych kilka miesięcy.

Dobrze jeśli rozmowa się klei, przecież trzeba dobrze się zaprezentować, przekonać rozmówcę do siebie i swoich walorów. Coraz częściej podczas rozmowy pada pytanie czy rozwiąże Pan Pani test. Nie musi Pan, ale dobrze by było. Może to być pomocne.

Sytucja nie należy do najbardziej komfortowych. Sam fakt, że trzeba jak najlepiej się “sprzedać” działa stresująco a tu jeszcze test. Czy naprawdę ktoś skwapliwie się godzi? Czy raczej robi to pod presją, aby nie wypaść gorzej od innych, ktorzy wyrazili zgodę. Poza tym sam fakt odmowy, powiedzenia “nie” podczas rozmowy rekrutacyjnej może być dla nas dyskwalifikujący. Martwimy się. I się godzimy, bo przeciez zależy nam na tej pracy.

Abstrahując od wartości merytorycznej takich testów formalnie rzecz biorąc pracodawcy proszący podczas rozmowy rekrutacyjnej o wyrażenie zgody na testy psychologiczne czy inne nie mają odpowiedniej podstawy prawnej.

Bowiem przepisy prawa pracy mówią dokładnie, jakich danych pracodawca może żąać od pracownika lub kandydata na pracownika. Są to dane wymienione w przepisach i nie należą do nich testy psychologiczne. Oznacza to, że jeśli pracodawca żąda innych danych niż te wyraźnie wymienione czyni to bez pdstawy prawnej i nawet zgoda pozyskana od kandydata na przeprowadzenie testów, nie leaglizuje tego działania.

Dlaczego tak jest? Dlaczego zgoda kandydata do pracy na przetwarzanie informacji o nim, zawartych w testach, które zgodził się przecież z własnej woli zrobić, nie wystarcza.

Przyczna  tkwi w istocie stosunku pracodawca pracownik czy pracodawca a kandydat do pracy. Z istoty tej relacji wynika podległość i nadrzędność służbowa.

W tej relacji pracodawca zawsze ma przewagę i w tych okolicznościach pracownik mający świadomość tej przewagi zawsze wyrazi zgodę, aby nie narazić się na negatywne konskwencje swojej odmowy. Pracodawca bowiem korzystając ze swojej przewagi bardzo łatwo w stosunku do pracownika może wyciągnąć neagtywne dla niego konsekwencje.

Czyli z istotny stosunku pracodawca-pracownik wynika, iż zgoda z reguły wyrażana jest pod presją i dlatego odmawia jej się w doktrynie i orzecznictwie podstawy legalizującej żądanie od pracownika innych danych niż te, na ktore zezwalają przepisy.

W praktyce nikt do konca tymi przepisami się nie przejmuje i powszechne jest odbieranie od pracowników zgód na różnorakie formy przetwarzania ich danych osobowych. Wobec powyższego warto byłoby, aby ustawodawca zastanowił się nad stosowną zmianą przepisów i uregulowaniem tych zagadnień.

Cloud Computing Część I

Mały przedsiębiorca lub konsument może w obecnych czasach korzystać z nowoczesnych rozwiązań informatycznych bez konieczności ponoszenia dużych kosztów związanych z inwestowaniem w drogi sprzęt, obsługę czy oprogramowanie.

Usługi w tym zakresie dostępne na rynku są bardzo różnorodne. Przedsiębiorca może korzystając z bogatej oferty usługodawców nowych technologii kupić powierzchnię serwerów, oprogramowanie czy gotową aplikację przeznaczoną do konkretnych celów.

I tak nasz przysłowiowy Kowalski, ktory chce otworzyć nieduży sklep internetowy, pisać bloga czy oferować inne usługi online nie musi wydawać tysięcy zlotych na wlasną infrastrukture informatyczną. Może wydzierżawić serwer w zewnętrznej firmie, może też skorzystać z innych usług włącznie z wykupieniem dostępu do potrzebnego mu oprogramowania. Dostarczyciel serwera czy oprgramowania to profesjonalista w swojej dziedzinie, dbający o jakość świadczonych usług. Oznacza to, że dba również o to, aby świadczone przez niego usługi spelniały odpowiednie wymogi prawne.

Kowalskiemu potrzebny jest jedynie komputer i dostęp do internetu. Dostęp bowiem do serwera czy aplikacji będzie miał on-line przez wyszukiwarkę, co będzie oznaczało, że z każdego miejsca i urządzenia połączy się ze swoją stroną internetową. Rozwiązania są bardzo wygodne, relatywnie tanie. Jedno pytanie, na które Kowalski musi sobie odpowiedzieć to czy zawsze bezpieczne.

W tym kontekście usługi w chmurze na najniższym poziomie wtajemniczenia będą wówczas, gdy w zakresie IT zlecamy coś na zewnątrz, poza własną firmę i nie ma znaczenia czy to będzie wykupienie serwera, platformy czy oprogramowania.

 

Google administratorem naszych danych osobowych – przełomowy wyrok TS UE

Operator wyszukiwarki internetowej (np. Google) jest administratorem danych osobowych, które pojawiają się w wynikach wyszukiwania w postaci linków do stron osób trzecich, na których publikowane są informacje o nas.

Nawet jeśli informacje o nas zostały opublikowane na stronach osób trzecich, rozsianych po internecie, to Google prezentując te informacje jako listę wyników tworzy swego rodzaju profil informacji o osobie. W związku z tym został uznany przez TS jako niezależny administrator danych osobowych, do którego należy stosować regulacje unijne w zakresie ochrony danych osobowych.

Można powiedzieć, że dzięki temu zyska prywatność w internecie, że postulowane prawo do zapomnienia w internecie stanie się realne. Google czy inne wyszukiwarki będą obowiązane bowiem w pewnych przypadkach do usunięcia z wyników wyszukiwania linków do stron o osobie, jeśli linki te zawierają informacje nieprawdziwe lub przestarzałe. Chodzi jedynie o takie linki, które są wynikiem wyszukiwania po wpisaniu frazy składającej się z imienia i nazwiska konkretnej osoby.

Wniosek o usunięcie linków musi być skierowany do operatora wyszukiwarki, który następnie musi przeprowadzić postępowanie wyjaśniające pod kątem zasadności takiego wniosku. Osoba żądająca usunięcia danych o sobie powinna wobec tego we wniosku skierowanym do operatora podać konkretne przyczyny, które uzasadniają jej żądanie. Osoba niezadowolona z rozstrzygnięcia operatora zawsze może zwrócić się do organu ochrony danych osobowych w danym kraju lub sądu z wnioskiem o zweryfikowanie decyzji operatora.

W wykonaniu wyroku Google już uruchomił stronę, na której można złożyć wniosek o usunięcie danych osobowych z wyników wyszukiwania.

Nie odmawiając racji argumentacji wyrażonej przez TS w wydanym orzeczeniu należy pamiętać, iż nie zamknie on sporów, które na tle tego wyroku się zarysowały. Chodzi o konflikt wartości pomiędzy prawem konkretnej jednostki do prywatności i do bycia zapomnianym a prawem dostępu do informacji, pełnej i prawdziwej, do historii, która nie jest zafałszowana przez usuwanie z niej niewygodnych faktów. W każdej sytuacji rozpatrując wniosek operatorzy wyszukiwarek czy weryfikujący te decyzje organy ochrony danych osobowych czy sądy będą musiały ważyć te przeciwstawne interesy i decydować, którym w danych okolicznościach dać prymat. Zadanie niełatwe.